セキュリティースレッド (262レス)
上下前次1-新
21(2): 名無しさん@お腹いっぱい。 2001/08/24(金)04:45 ID:??? AAS
クッキーってクライアントが申告する物だから比較的簡単に自分で値を設定できると思うんですけど、この考えは間違ってますか?
それ自体セキュリティーホールには成り得ないけれども、CGI等で認証後IDをクッキーで引き回してるだけのところとかあるんで大丈夫か?と思いまして。
22(1): JAPU@でも、最近は千影たんが気になるんです [AyuMoe@REMOVE-THIS-PART.JAPU.ORG] 2001/08/24(金)05:23 ID:??? AAS
>>21
その考えて正しいです。
QUERY_STRING とか、クッキーの値はまず疑うことから始めなくちゃダメよん。いくらでも自由に設定出来ちゃうから。
23: 21 2001/08/24(金)06:05 ID:??? AAS
>>22
ですよね。
ありがとうございます。うやむやが解消されました。
でも、やっぱ巷にあふれるCGIってセキュリティー甘いですね。
どもです。
24: 名無しさん@お腹いっぱい。 2001/08/24(金)06:25 ID:ULL5uXLk(1/2) AAS
>>20
俺も掲示板の管理人コメント見て藁った。
面倒くさかったら、GETメソッドはダメ、
POSTメソッドでもリンク元が自分のとこじゃ
ないとダメとか自分のIP以外はダメとか
何らかの手段があると思うんだけどね。
25(1): 名無しさん@お腹いっぱい。 [age] 2001/08/24(金)07:21 ID:??? AAS
すいません。
>>POSTメソッドでもリンク元が自分のとこじゃないとダメ
これについて解決法が無くて困っています。
一般的にはHTTP_REFERERを見て自サイトかどうか確認しますよね?
でもHTTP_REFERERはクライアント申告だから偽れますよね?
なので困ってます。
昔はCookieで何とかなると思ってたんですけどクッキーもクライアント申告なんですよね。
REFERERとCOOKIEの実装で大概大丈夫だとは思いますが、中途半端な実装であることは間違いないですよね。
今まで中途半端な実装できたんですけど、解決策お持ちの方がいらっしゃったら教えてください。
26(1): 名無しさん@お腹いっぱい。 2001/08/24(金)17:56 ID:cjfCNev.(1/2) AAS
>>20
今のページ、派手に書き換わってるな・・
保存しとこ。
外部リンク:php.s3.to
なぜかShift-JIS。
27(1): 名無しさん@お腹いっぱい。 2001/08/24(金)18:02 ID:cjfCNev.(2/2) AAS
>>25
いたずら「しにくく」することは出来るけどね。。
完全な実装は無理だと思う
28(1): 名無しさん@お腹いっぱい。 2001/08/24(金)18:41 ID:ULL5uXLk(2/2) AAS
>>26
俺も保存した。ここまで来ると完全な犯罪だね(w
>>27
すっげー面倒くさいが、
ログイン→認証成功→認証成功したメールアドレス宛に
本ログイン用URLを送信→本ログイン→書き込み
最初のログイン時にIPとセッションIDを作成して保存して、
そのセッションIDを含めたURLで本ログイン。
もちろん、最初のログイン時と本ログイン時のIPが
同一であるかどうかをチェック。
省1
29(1): 名無しさん@お腹いっぱい。 [sage ] 2001/08/24(金)20:43 ID:??? AAS
毎回hiddenでランダムキー吐き出して認証するとか
ダサいなー。。 (-_-
30: 名無しさん@お腹いっぱい。 [0] 2001/08/24(金)21:00 ID:??? AAS
とりあえず、あれだけ派手にやられたってことで
あのサイトの管理人のスクリプトは危険性大という
ことでよろしいのでしょうか?
31(1): 名無しさん@お腹いっぱい。 [sage ] 2001/08/24(金)21:18 ID:??? AAS
しかし、サーバー管理者ももう少し頑張って欲しいと思うね
適当にApache走らせてcgiに馬鹿みたいな権限与えてるサーバーが
何と多い事か、、、
しかも金取って運営してる有料サーバーだと言うから呆れてしまう
そんなサーバーでは全ユーザーのファイルunlinkする事も簡単に
出来てしまうだろう。
そんな所は絶対使う気になれないよ
32: 名無しさん@お腹いっぱい。 2001/08/24(金)23:49 ID:??? AAS
>>28 >>29
もうちょっとスマートで現実的な方法ないですかね?
あきらめてbasic認証するか。
あんなページ書き換えて、なんか楽しいんですかね?
踏み台用にこっそりアカ持っとくってならわかるんだけど・・・。
あそこを書き換えるのが最終目標ってのがなんか気まぐれ犯行ですね。
練習ってのが妥当な解釈でしょうか?
33(3): 名無しさん@お腹いっぱい。 [sage ] 2001/08/25(土)01:49 ID:??? AAS
>>31
激同
あったかい管理人になると「ユーザー同士は信頼関係で成り立ってますから」
とか、ほんとポカポカしたメッセージをくれたりするんだが(俺が実際喰らった)
こう言う鯖にはこれまたほんわかしたユーザーがevalてんこ盛りの
ファイラー置いてたりして、後者の存在する確立は限りなく100%に近いんだよね
こうなるとベーシック認証も糞もあったもんじゃ無くてテスト以外には
とてもじゃないけど使う気にならない。
むしろCGI止めて欲しいよね。借りるの止めるけど w
34: 名無しさん@お腹いっぱい。 [0] 2001/08/25(土)01:57 ID:??? AAS
今度は写真の色がちょっと変わったね。
自分のサイトに興味がないんだか・・・
35: 33 [sage ] 2001/08/25(土)02:03 ID:??? AAS
因みに中華鯖でUNIX互換使ってる所は(何故かNTが多いのだが w)
***非常に***そう言う所が多いです。
なま温かい目で見守ってやりましょう
36: 名無しさん@お腹いっぱい。 [0] 2001/08/25(土)02:38 ID:??? AAS
↑ 知ったかぶり厨房が居るね プププ
お前が気にする程管理人は馬鹿じゃ無いから言ってみな
それとも薄っぺらい能書きがばれるのが嫌かい pupu
37: 33 2001/08/25(土)02:57 ID:??? AAS
ん? 俺の事を言ってるのかい
残念ながら、ケビンニトミックに憧れている若き戦士に捧げる
戦術は僕にはにゃぃ ヽ(´ー`)ノ
cgiのセキュリティーに付いて知りたいならJAPUさんのサイト(一番上を良く見てね :−D )
や他のコマンドや汚染チェックの方法なんかを調べてみれば良い
中華鯖と言ったのが解りにくなったなら、服務器、免費、空間、UNIX、(木富)案、上載
なんかのKEYで探してみるといい、彼等が色んなスクリプトを動かしてるのが解るだろう
実は俺も知ったかぶりしてるだけなんで、これ以上聞かないでくれ (わ
38: 33 2001/08/25(土)03:01 ID:??? AAS
s/ケビンニトミック/ケビンミトニック/; 寝よ、、
39: 名無しさん@お腹いっぱい。 2001/08/25(土)07:08 ID:??? AAS
> ■ 2001/08/25(Sat) 05:25
> なんっつたりして。ネタです
そして苦しいイイワケ
40: 名無しさん@お腹いっぱい。 2001/08/25(土)08:55 ID:??? AAS
暑いねえ
まだセミが鳴いてるわ (ワラ
後1週間 か・・・
上下前次1-新書関写板覧索設栞歴
あと 222 レスあります
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ AAサムネイル
ぬこの手 ぬこTOP 0.512s*